1樓:莫等閒
如果網頁能列舉你的本地檔名,所有人都會知道你硬碟上有個目錄叫D:/工作目錄/系統檔案/驅動程式/intel/Tokyo Hot
2樓:余弦
@tombkeeper 那個例子是屬於經典的,我來補充回答下:
1. 本地路徑可能包含使用者習慣資訊,比如路徑裡可能有使用者名稱/習慣目錄等,這算是一種小隱私,似乎不傷大雅;
2. 如果input可以使用者拖拽獲取完整本地路徑的話,我記得之前(2年前了大概)有某人demo過這個input利用,指令碼自動化去暴力猜測使用者電腦的各種路徑,這樣的話可能可以:
a) 常用軟體探測,比如是否有什麼殺軟,是否有什麼脆弱的軟體等;
b) 磁碟分割槽探測;
c) 如果惡意js還能跨協議/跨域讀本地內容的話,那就更爽了(這是漏洞結合起來用的魅力);3. 獲取本地路徑的漏洞歷史上出現N多次,各個瀏覽器都出現過,建議翻翻歷史漏洞記錄(到各瀏覽器漏洞公告頁面去找),總結規律,可以發現新的;
3樓:tombkeeper
資訊保安基本原則之一叫做「最小化」。對提問中描述的場景而言,路徑資訊對在應用中是不必要的,那麼就應該遮蔽。
有何安全問題?大的方向是明確的:可能有助於某些攻擊方式。但具體是什麼,也許可以舉出乙個兩個例子,但你永遠不知道還有沒有其它的。
好吧,舉乙個例子:http://www.
nsfocus.net/index.php?
act=advisory&do=view&adv_id=54。利用這裡面提到的漏洞,就需要知道檔案的完整路徑。
心理學中的 命運指令碼 人生指令碼 真的存在嗎?人如何才能獲得自由?
湘君穀雨 心 如果只從現在回溯過去,總能找到相對應的原因,就有宿命論 命中註定的錯覺。實際上,人雖然很大程度受童年影響,但同時,人有 自由 有非常大的可塑性,可以從命運的桎梏中掙脫出來。哪怕存在人生劇本,也是可以改寫的。獲得自由的第一步,是認識到自己身處怎樣的漩渦。生活過得是不是缺乏審視,而渾渾噩噩...
為什麼近代日本能夠誕生眾多優秀的設計師?
阿四 你見過乙方把甲方打了的不,日本設計師就敢這麼幹。佐藤可士和,學設計的應該都認識。有次和乙個大公司合作,佐藤把自己兢兢業業做的作品交上去後 甲方不滿意 指手畫腳要改。結果佐藤當場發作,md老子拼了半條命做的東西 你們這些啥也不懂的人也敢來指揮 真是太侮辱我了 不打你們打誰 最後把甲方打了一頓。打...
讀劇本殺的劇本,能夠算是一種閱讀嗎?
早上很餓怎麼辦 哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈當然算,誰還記得在沒有智慧型手機之前,蹲大號太無聊的時候都是怎麼做的?我反正是把能看的都看了,比如洗衣液配料表啊功效啊,洗髮水的配方啊效果啊 誰要說我這不是閱讀我錘誰 空山 是一種閱讀行為。但如果說有質量的閱讀,就我個人來講...